重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
本文介绍如何从 ArcSight 导出历史数据。 完成本文中的步骤后,可以选择引入工具来迁移数据。
可以通过多种方式从 ArcSight 导出数据。 选择导出方法取决于数据卷和已部署的 ArcSight 环境。 可以将日志导出到 ArcSight 服务器上的本地文件夹或 ArcSight 可访问的另一台服务器。
若要导出数据,请使用以下方法之一:
- ArcSight 事件数据传输工具:对大量数据(即 TB)使用此选项。
- lacat 工具:用于小于 TB 的数据量。
ArcSight 事件数据传输工具
使用事件数据传输工具从 ArcSight 企业安全管理器 (ESM) 版本 7.x 导出数据。 若要从 ArcSight 记录器导出数据,请使用 lacat 实用工具。
事件数据传输工具从 ESM 检索事件数据,这使除了 CEF 数据之外,还可以将分析与非结构化数据相结合。 事件数据传输工具以三种格式导出 ESM 事件:CEF、CSV 和键值对。
使用事件数据传输工具导出数据:
将日志导出配置为使用 CSV 格式。 例如,此命令会将 2016 年 5 月 4 日 15:45 到 16:45 之间的记录数据导出到 CSV 文件:
arcsight event_transfer -dtype File -dpath <***path***> -format csv -start "05/04/2016 15:45:00" -end "05/04/2016 16:45:00"
lacat 实用工具
使用 lacat 实用工具从 ArcSight 记录器导出数据。 lacat 从记录器存档文件导出 CEF 记录,并将记录打印到 stdout。 可以将记录重定向到文件,也可以通过管道将记录重定向到文件,以便进一步使用诸如或grep等awk选项进行作。
若要使用 lacat 实用工具导出数据,
- 下载 lacat 实用工具。 对于大量数据,建议修改脚本以提高性能。 使用修改的版本。
- 按照 lacat 存储库中的示例作,了解如何运行脚本。